Group-IB

2021-02-02 13:08:45 #изоляция #глобальнаясеть
Илья Сачков: «Отключение России от глобальной сети может привести к катастрофическим последствиям»

Дмитрий Медведев назвал потенциально возможным отключение страны от глобальной сети, однако, заверил, что у Москвы есть план действий на этот случай. «Если случится что-то чрезвычайное, если у кого-то совсем снесет голову, такое может произойти», — сказал Медведев в интервью российским СМИ.

«Отключение России от глобальной сети, на мой взгляд, может привести к катастрофическим последствиям, — прокомментировал эту новость Илья Сачков, генеральный директор Group-IB. — Несмотря на прошедшие киберучения, нет понимания, каким образом будет работать весь IT-сектор и промышленность, связанные с глобальным интернетом. Вопрос обновлений станков, оборудования, в том числе и на объектах критической инфраструктуры, может привести к остановке производственных процессов, сбоям связи во всех регионах страны, что, на мой взгляд, является катастрофой.

С другой стороны, изоляция — это еще и серьезный удар по экономике страны, так как многие компании — финансовые, транспортные, логистические, ритейл, и др. — не смогут полноценно оказывать свои услуги и оперативно предоставлять их пользователям.

Индекс инвестпривлекательности страны моментально упадет, многие компании потеряют свою выручку. Также это приведет к гибели многих российских стартапов, которые продают что-то за рубеж или оказывают услуги по аутсорсингу какой-либо разработки вне России.

Для того, чтобы обеспечить большую безопасность российского интернета, требуется увеличить экспорт высокотехнологичной продукции, и через острую конкуренцию на международных рынках, получить возможность производства высококачественного сетевого оборудования. Кроме того, необходимо обеспечить более активное членство российских делегатов в организациях по управлению глобальной сетью». Открыть/Комментировать

2021-02-01 16:30:36 #DFIR
Криминалистическое исследование инцидентов, связанных с утечкой исходного кода

Семь из десяти крупнейших по рыночной капитализации компаний — представители IT-индустрии. Они разрабатывают сервисы, продукты, локальное или облачное программное обеспечение, чей исходный код является одним из их самых ценных активов. Инциденты безопасности, связанные с исходным кодом, происходят постоянно — недавно с этим столкнулись Nissan и Microsoft.

Чаще других причиной компрометации исходного кода являются:
неправильная конфигурация безопасности (например, общедоступный веб-сервис)
проблемы с аутентификацией (отсутствие двухфакторной аутентификации, слабые пароли или некорректно сконфигурированное хранилище секретов).

Недавно во время реагирования DFIR-криминалисты Group-IB обнаружили, что атакующие получили доступ к неправильно сконфигурированному серверу CI, чтобы украсть исходный код продукта, запустив конвейер CI и загрузив артефакты сборки. Этот инцидент побудил Анатолия Тыкушина, специалиста по компьютерной криминалистике Group-IB, написать статью «The source of everything: forensic examination of incidents involving source code leaks», в которой автор рассмотрел источники цифровых криминалистических доказательств и следы различных действий пользователей систем, необходимые при расследовании инцидентов компрометации исходных кодов продукта. Открыть/Комментировать

2021-02-01 11:00:01 #скам #Telegram
В Telegram появились фейковые рассылки от продюсеров российских «звезд»

«КоммерсантЪ» сегодня пишет о необычном виде скама, который обнаружили эксперты Group-IB. Мошенники создают в Telegram фейковые аккаунты продюсеров «звезд» и обещают всего за 10 000 рублей разместить рекламу в Instagram певицы Елены Темниковой или рэпера Моргенштерна. В другом случае от имени популярного Telegram-канала «Незыгарь» аферисты предложили представителям одного из крупнейших российских предприятий из сферы агропромышленного комплекса обсудить отказ от публикации негатива.

«Речь идёт о двух разных мошеннических схемах — отсюда и разные по статусу жертвы, и разные суммы ущерба, — комментирует ситуацию Яков Кравцов, заместитель руководителя отдела спецпроектов Департамента защиты от цифровых рисков Group-IB. — Если фейковый продюсер собирает "на рекламу" звезд по 10 000 рублей и рассылка идёт по широкому списку контактов, то в случае с "лже-незыгарем" мошенники точечно атакуют предпринимателей, крупные компании, чтобы с помощью вымогательства и шантажа получить сотни тысяч рублей. Раньше такие предложения поступали якобы от ресурсов компроматчиков, теперь — от лица популярных телеграм-каналов. Так что необычным здесь выступает именно выбор «наживки», а не сама схема».

Вообще же, замечают эксперты Group-IB, интерес мошенников к Telegram на фоне стремительного увеличения числа его подписчиков заметно вырос — сервис используют уже не только как средство коммуникации и рекрутинга, но и для реализации разных мошеннических схем, например, для создания фишинг-китов и скам-инфраструктуры (см. схема «Мамонт»). Открыть/Комментировать

2021-01-28 16:22:32 #Emotet #OperationLadybird
«Божья коровка» прихлопнула Emotet

Нейтрализован один из самых опасных ботнетов — Emotet. В спецоперации, получившей название «Божья коровка», участвовали ФБР, Европол, киберполиция Великобритании, Нидерландов, Канады, Украины — им удалось взять под свой контроль инфраструктуру зараженной сети, которая располагалась в более чем 90 странах мира.

«В последнее время ботнет Emotet активно атаковал пользователей в Европе, Северной и Южной Америках, — рассказал Газете.ру Рустам Миркасымов, руководитель отдела исследований киберугроз европейской штаб-квартиры Group-IB в Амстердаме. — Операторы прогружали и другие трояны, что говорит об их плотном сотрудничестве с другими хакерскими преступными группами. Например, Group-IB недавно проводила реагирование на объекте в одной из стран Европы, где Emotet успешно пробил защиту и загрузил троян от другого ботнета — QBot, который сейчас используется для прогруза шифровальщиков pr0Lock и Egregor».

«Судя по видео, опубликованному киберполицией Украины и Европолом, правоохранительным органам удалось задержать не только руководителей ОПГ, но и людей, вовлеченных в разработку и рассылку вредоносных программ. Мы уже неделю не видим активности со стороны ботнета Emotet, что свидетельствуют об остановке деятельности группы, — подчеркнул эксперт Group-IB. — В то же время, зараженные трояном компьютеры получили команду на самоудаление из системы 25 марта 2021, видимо, правоохранители получили доступ к управляющему серверу и провели мероприятия по ликвидации бот-сети. Бот-сеть, как она есть, однозначно перестала существовать». Открыть/Комментировать

2021-01-27 14:15:57 Открыть/Комментировать

2021-01-27 14:15:43 #DigitalRiskProtection #защитабренда #мошенничество
Инновации Group-IB получили признание Frost & Sullivan

Та-да-дам! Group-IB удостоена престижной награды Innovation Excellence консалтингового агентства Frost & Sullivan за решение для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда — Digital Risk Protection (DRP). В свежем аналитическом отчете «Frost Radar: European Digital Risk Protection (DRP) Market, 2020» Group‐IB названа одним из лидеров отрасли: «Компания Group‐IB со штаб-квартирой в Сингапуре занимает большую долю на европейском рынке решений по защите от цифровых рисков, которая в 2019 году составила 18,5%».
По данным Group-IB, за 9 месяцев 2020 года на атаки и мошенничество с незаконным использованием известных брендов пришлось 54% от всех киберпреступлений. Большинство интернет-мошенничества (59%) приходится на социальные сети. Фейковые веб-сайты — вторые по числу нарушений (23%), за ними следуют мобильные приложения (6%), созданные скамерами.
Преступления, связанные с DRP, специалисты Group-IB разделяют на две большие категории: фишинговые ресурсы, которые собирают учетные данные или платежную информацию жертв (16%), и интернет-мошенничество, мотивирующее пользователей добровольно переводить деньги злоумышленникам под видом оплаты интернет-заказов, получения компенсаций, розыгрышей призов или фейковых акций от известных персон или брендов (38%). Открыть/Комментировать

2021-01-27 10:03:34 #Telegram #угон #CERT
Hunter Stealer не дошёл до «Базы»

Эксперты Group-IB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учётку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (312 тыс подписчиков). Кроме него были атакованы админы еще десятка каналов, правда, их пытались "пробить" с помощью другого вредоносного ПО, пишет Прайм.

«В атаке на «Базу» использовался довольно примитивный стилер Hunter, который позволяет автоматически собирать учетные записи на зараженном компьютере и отправляет их злоумышленнику, раньше этот стилер, к примеру, часто использовали для кражи учетных данных у игроков GTA San Andreas Online, — рассказал Илья Померанцев, руководитель группы исследований и разработки CERT-GIB. — Наши специалисты провели анализ вредоносного файла, содержавшегося в архиве, который злоумышленники прислали Могутину под видом рекламной презентации образовательной платформы. Этот стилер нацелен на устройства под управлением ОС Windows — именно поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал».

В атаках на других владельцев телеграм-каналов злоумышленники отправляли файл "Промо-Видео", внутри которого находился более продвинутый стилер — REDLINE, отметил заместитель руководителя CERT-GIB Ярослав Каргалев. Это семейство вредоносных программ также используется для кражи данных, относящихся к Telegram, а именно конфигурационных файлов, позволяющих восстановить сессию на другом устройстве. Если у владельцев Telegram-канала не включен код-пароль приложения, то злоумышленникам не составит труда восстановить сессию и сменить владельца телеграм-канала. Так что вывод прост: не открывать подозрительные сообщения, архивы и ссылки, и не пользоваться ОС, где стилеры чувствуют себя, как дома.

Что делать, если заражение уже произошло?
Пока компьютер инфицирован, устанавливать код-пароль нет смысла, так как вредоносная программа может обладать возможностями клавиатурного шпиона и возвращаться к работе на этом ПК только после нейтрализации вредоносного кода.
Для администратора необходимо оперативно завершить активный сеанс на инфицированном компьютере и с помощью другого устройства, например, смартфона, в настройках конфиденциальности, сменить облачный пароль, установить код-пароль на всех других доверенных устройствах. Открыть/Комментировать

2021-01-26 13:27:36 #Интервью
«Прежде всего, Threat Intelligence & Attribution — это знание об угрозах»

Дмитрий Волков на обложке журнала — это всегда событие. В интервью Information Security технический директор Group-IB рассказал об истории создания компании, актуальных киберугрозах 2021 года и способах защиты от них, в том числе с помощью Threat Hunting Framework и Threat Intelligence & Attribution.

«Я не могу сказать, что уровень информационной безопасности в России катастрофически низкий. Определенно, есть страны, где ситуация хуже. Но иногда приходишь в компанию и видишь, что как таковой информационной безопасности просто нет. Но при этом в ответ всегда слышишь, что и инцидентов в компании нет. Но с чего вы это взяли?! Ведь вы можете просто не видеть атаки».

«Прежде всего, Threat Intelligence & Attribution – это знание об угрозах. Этот продукт вообще уникален, потому что сейчас рынок Threat Intelligence сводится к банальной поставке черных списков – списка "плохих" адресов, "плохих" доменов. Почему мы добавили слово Attribution? Потому что уже недостаточно просто анализировать угрозы. Когда вы сталкиваетесь с реальной угрозой̆, вам нужен ответ на один из важных вопросов: кто вас атакует и с помощью чего? Данные мы даем, инструменты для работы с этими данными мы тоже даем, ну и предоставляем наш собственный сервис, который перекладывает часть активных задач на плечи наших специалистов, которые уже обладают необходимым опытом и навыками».

«Если вы занимаетесь информационной безопасностью, вам нельзя полагаться на знания, которые были актуальны, скажем, год назад. Необходимо смотреть на то, что значимо прямо сейчас или будет актуально через два-три года. Прежде чем создавать какую-то технологию, нужно понимать, что пройдет время и на момент появления на рынке она, возможно, станет уже неактуальной. Поэтому необходимо уметь немного заглядывать в будущее, и вот здесь данные киберразведки нам и помогают». Открыть/Комментировать

2021-01-26 13:27:27 Открыть/Комментировать

2021-01-25 13:33:42 #telegram #скам
Вдогонку расскажем о мошенничестве от имени популярных Telegram-каналов. Вот такое письмо получил один известный предприниматель якобы от «Незыгаря».
Бизнесмен согласился "пообщаться", но на его письмо не ответили. Судя по всему, мошенники решили заработать на довольно популярной схеме, которую используют компроматчики — продаже «блоков» (моратория на публикацию негативных материалов на компанию или персону), и подделали почту отправителя. Самые внимательные уже заметили, что почтовый ящик nzgnsg@protonmail.com отличается от официальной почты «Незыгаря»: nzgnzg@protonmail.com Разница всего в одну букву — а дорогого стоит...

Есть и более продвинутая схема: мошенники создают в Telegram фейковые аккаунты и от имени продюсера популярного артиста — Моргенштерна или Темниковой, предлагают разместить рекламу в Instagram "звезды" — пару постов всего за 10 000 руб. Будьте бдительны! Открыть/Комментировать